Introduzione a LogParser
Tra gli strumenti che mi capita di usare più spesso nel mio lavoro c’è sicuramente LogParser , un tool alla riga di comando (per il quale però esistono alcune GUI che facilitano l’uso tramite un’interfaccia grafica) che tramite un linguaggio molto simile al T-SQL permette di analizzare log in formato testuale ma non solo; io lo trovo particolarmente utile per analizzare log di IIS ed i log dell’Event Viewer, ma l’utilizzo è in realtà più ampio e molto flessibile. LogParser supporta un numero piuttosto ampio di formati di file sia in input che in output, ecco l’elenco completo per la versione 2.2: Input Formats ADS Restituisce proprietà relative ad oggetti contenuti in Active Directory BIN IIS logs in formato Centralized Binary Log File COM Fornisce un’interfaccia per Custom Input Format COM Plugins CSV Log in formato testo separato da virgole ETW Formato per Enterprise Tracing for Windows (file .etl) e trace di sessioni live ETW EVT Usato per leggere gli eventi dal Windows Event Log (sia dalla macchina locale che da una remota) e file .evt FS Informazioni riguardo gli oggetti del File System (file e cartelle) HTTPERR Log creati dal driver Http.sys (HTTP Error logs) IIS Log di IIS nel formato nativo Microsoft ( IIS Log File Format ) IISODBC Restituisce le informazioni dalle tabelle utilizzare quando IIS è configurato per salvare i log nel formato ODBC Log IISW3C Usato per i log di IIS nel formato W3C Extended Log File Format (questa è la modalità di logging di default di IIS) NCSA Usato per file in formato NCSA (nelle tre modalità Common, Combined ed Extended). Il formato NCSA è basato su campi a lunghezza fissa separati da spazi NETMON Permette l’analisi di trace di rete (file .cap) prodotte con Network Monitor REG Usato per fare query sul registro di sistema TEXTLINE Restituisce righe di testo da file di testo generici TEXTWORD Restituisce parole ( words ) da file di testo generici TSV Gestisce file con valori separati da tab o da spazi URLSCAN Usato per fare query su file generati da URLScan W3C Gestisce file in formato W3C Extended Log File Format XML Usato per gestire file in formato XML Output Formats CHART Usato per creare grafici; è necessario installare gli Office Web Components CSV Log in formato testo separato da virgole DATAGRID Mostra i record in una finestra grafica con una griglia tipo GridView IIS Log di IIS nel formato nativo Microsoft ( IIS Log File Format ) NAT Scrive i record in un formato separato da tab rispettando l’allineamento delle colonne per una comoda leggibilità SQL Scrive l’output in una tabella di Sql Server SYSLOG Può essere usato per mandare messaggi ad un Syslog server, per creare file di testo contenenti messaggi di tipo Syslog e per mandare messaggi di tipo Syslog agli utenti TPL Scrive l’output formattandolo in base ad un template definito dall’utente TSV Scrive l’output in record separati da tab o da spazi W3C Scrive file in formato W3C Extended Log File Format XML Scrive l’output in un file XML Qualche esempio pratico IIS Per fare un esempio pratico vorrei usare il campo time-taken che troviamo nei log di IIS: nelle versioni fino alle 6 era necessario abilitare esplicitamente questo valore nel log, fortunatamente dalla versione 7 in poi è invece abilitato di default: Il campo time-taken misura il tempo necessario per l’esecuzione di una richiesta http: il timestamp viene inizializzato quando il server (meglio, il driver http.sys, il responsabile del logging in IIS) riceve il primo byte della richiesta proveniente dal client e comprende il tempo per completare l’elaborazione e spedire il risultato (la pagina richiesta)
The rest is here:
Introduzione a LogParser
